В конце сентября 2016 года организация Mozilla объявила о прекращении доверия китайскому удостоверяющему центру WoSign и компании StartCom. Тогда организация опубликовала отчет, в котором рассказала о расследовании, проведенном в отношении подозрительных сертификатов SSL SHA-1, выданных обеими компаниями.
Mozilla обвинила удостоверяющий центр в том, что тот выдавал сертификаты SHA-1, датируя их задним числом, а именно декабрем 2015 года. Тогда как Mozilla позволяет другим удостоверяющим центрам выпускать сертификаты SHA-1 после 1 января 2016 года (к примеру, Symantec), этот процесс сопровождается комплексными проверками и утверждениями, от которых представители WoSign уклонялись. К тому же, выяснилось, что WoSign выдавал сертификаты для различных доменов без надлежащих проверок и верификаций.
Также аналитики Mozilla пишут, что WoSign, похоже, купил израильский удостоверяющий центр StartCom еще в конце 2015 года, хотя сам факт покупки отрицается и скрывается обеими компаниями. Теперь, согласно данным исследователей, StartCom использует инфраструктуру WoSign, либо вообще является ее клоном. Кроме того, StartCom тоже обвинили в выдаче сертификатов задним числом.
В итоге представители Mozilla сообщили, что обе компании будут временно забанены на год, и запрет коснется только новых сертификатов, но не распространится на выданные ранее. При этом если год спустя оба удостоверяющих центра не смогут пройти ряд проверок, Mozilla собирается заблокировать их окончательно и навсегда. Со всеми подробностями можно ознакомиться в отчете ниже.
В отчете представители Mozilla пишут, что другие разработчики должны будут принять решение сами: «Вендоры других браузеров и продуктов должны будут сами принять решение [в отношении WoSign и StartCom]. Мы публикуем всю собранную нами информацию в этом документе, чтобы они понимали, на каком основании мы приняли такое решение и могли вынести собственное решение».
Очевидно, отчет аналитиков Mozilla показался представителям компании Apple достаточным основанием для бана WoSign. В минувшую пятницу, 30 сентября 2016 года, компания анонсировала (1 и 2), что iOS и macOS перестают доверять сертификатам WoSign, выпущенным позже 19 сентября 2016 года.
Представители Apple объясняют, что хотя корневых сертификатов WoSign в списках доверия и не было, удостоверяющий центр использовал промежуточные сертификаты StartCom и Comodo, которым продукты Apple доверяли. Именно они и попали в бан.
Ожидается, что запрет вступит в силу с выходом очередного обновления безопасности, которое ожидается примерно в середине октября 2016 года. При этом представители компании не упоминают, будет бан постоянным или временным, как в случае Mozilla.
Фото: thecrazyfilmgirl